Limpar malware com Wordfence exige scan completo, quarentena e restauração do core antes de remover qualquer arquivo. Segundo o NVD (NIST) (2024), o CVE-2020-35489 do Contact Form 7 teve CVSS 10,0. A remoção cega quebra o site em minutos. Feche a CVE, não só o sintoma.

Limpar malware com Wordfence é usar o scanner do plugin para localizar arquivos infectados, colocá-los em quarentena e restaurar o que foi adulterado, sem apagar nada às cegas. A vantagem é direta: o Wordfence compara cada arquivo do core com o repositório oficial e marca o que destoa, então a injeção aparece mesmo quando o site parece normal no painel. O risco está na pressa, porque a remoção automática de um arquivo legítimo derruba o WordPress. Se você ainda nem isolou o ambiente, comece pelos guias de segurança WordPress da FULL e volte para a limpeza guiada.

Diagnóstico rápido: O que o Wordfence acha quando você limpa malware

Limpar malware com Wordfence começa por entender os 4 achados que o scan reporta: arquivo do core com hash divergente, PHP injetado em pastas de mídia, código ofuscado com base64_decode ou eval, e arquivo modificado fora de qualquer atualização. Cada achado tem tratamento próprio, e tratar todos igual é o erro que mais quebra site. O scan classifica por severidade, então o arquivo do core adulterado vem primeiro.

Legenda: o scan do Wordfence separa achado crítico de aviso, o que define a ordem da limpeza.

Por que limpar malware com Wordfence pega o que o antivírus comum não vê

Limpar malware com Wordfence pega 1 classe de ameaça que o antivírus genérico ignora: a injeção no core do WordPress. O Wordfence não procura só assinatura conhecida, ele compara cada arquivo de wp-admin e wp-includes com o hash oficial do WordPress.org e denuncia qualquer byte alterado. Um backdoor sob medida não está em base de assinatura nenhuma, mas não passa por essa verificação de integridade.

Na prática, a gente vê no suporte da FULL que boa parte das reinfecções vem justamente de arquivo que o scanner por reputação declarou limpo. O malware moderno se esconde em wp-content/uploads, onde nenhum PHP legítimo deveria rodar, e o Wordfence flagra esse PHP fora de lugar como crítico. O diferencial é a integridade: o scan tende a pegar a ameaça nova antes de ela virar dano, porque procura o que está fora do lugar, não o que já conhece. Por isso limpar malware com Wordfence fecha a lacuna que o antivírus de catálogo deixa aberta em quase toda invasão por upload arbitrário.

Antes de limpar malware com Wordfence: Isole o ambiente e faça backup

Limpar malware com Wordfence sem backup prévio é apostar o site inteiro em 1 operação que mexe no core. A regra de campo é congelar o estado atual: tire o site do ar com modo de manutenção, gere um backup completo de arquivos e banco, e só então rode o scan. Esse backup é a rede de segurança caso a remoção quebre algo.

O Wordfence em si não faz backup, então a etapa depende de UpdraftPlus, All in One Security ou da própria hospedagem. A gente vê no suporte que pular o backup é o que transforma uma limpeza de uma hora em um dia inteiro de recuperação. Restaure a calma antes da pressa: documente as URLs que o Google sinalizou, anote a data provável da invasão e guarde o backup fora do public_html. O procedimento detalhado está em como fazer backup seguro antes e depois da limpeza de malware, e o conceito de backup tem verbete no glossário se você quiser a definição operacional antes de seguir.

Passo a passo: Limpar malware com Wordfence na ordem certa

A limpeza completa segue cinco passos encadeados, do scan ao hardening, e cada um alimenta o próximo. Pular a restauração do core (Passo 3) deixa a injeção mais profunda intacta, e ignorar a CVE no Passo 5 garante reinfecção. Reserve de 30 a 60 minutos para um site médio rodando o Wordfence com o scan completo, não o agendado superficial.

Passo 1: Rode o scan completo do Wordfence, não o padrão

Acesse Wordfence > Scan e use a opção de scan de alta sensibilidade, que verifica fora do core e inclui o tema e os uploads. O scan padrão é mais rápido, mas pula a varredura agressiva que pega backdoor em pasta de mídia. Configure o tipo de scan em Scan > Scan Options antes de iniciar, garantindo que a verificação de arquivos fora do WordPress esteja ativa. Deixe o scan terminar por completo antes de tocar em qualquer resultado.

Passo 2: Coloque os arquivos suspeitos em quarentena

Na lista de resultados, use a opção de quarentena do próprio Wordfence em vez de deletar direto. A quarentena move o arquivo para um local isolado e reversível, preservando a evidência da invasão. Leia cada arquivo crítico antes: um PHP em uploads é quase sempre malicioso, mas código ofuscado dentro de um plugin pode ser falso positivo. Trate o resultado como lista de suspeitos, não de condenados.

Passo 3: Restaure os arquivos do Core adulterados

Para todo arquivo do core que o Wordfence marcou com hash divergente, use a opção de restaurar o original, que baixa a versão limpa do WordPress.org. Esta é a etapa de limpar malware com Wordfence que mais erra por pressa: não delete arquivo do core, restaure. O WP-CLI confirma o resultado com wp core verify-checksums, que deve sair limpo após a restauração. Esse passo remove a injeção direta em wp-includes, o esconderijo mais perigoso porque carrega em toda requisição.

Passo 4: Limpe o banco de dados e o wp-config

O malware também se aloja no banco, então revise `wp_options` e `wp_posts` em busca de “ injetado e iframes ocultos. O Wordfence não limpa o banco automaticamente, mas aponta o site como comprometido quando detecta o padrão. Confira também o `wp-config.php`: chaves de autenticação trocadas ou linhas estranhas após `define(‘DB_PASSWORD’)` indicam adulteração. Rotacione as chaves de segurança nesta etapa.

### Passo 5: Feche a CVE e ative o firewall

A limpeza só termina quando você corrige a falha que abriu a porta. Atualize todo plugin para a versão com patch, porque o atacante reentra pela mesma CVE em horas se ela continuar aberta. Ative o firewall do Wordfence em modo de aprendizado por uma semana e depois em proteção. Esse passo separa a limpeza que dura da que reinfecta no dia seguinte.

[IMAGEM: opção de restaurar arquivo do core no Wordfence | alt=”restaurar arquivo do core adulterado ao limpar malware com Wordfence”]

Legenda: restaurar o arquivo original do WordPress.org corrige a injeção sem deletar o core.

## Cves reais: A porta de entrada que o Wordfence costuma confirmar

[IMAGEM: Cves reais: A porta de entrada que o Wordfence costuma confirmar: screenshot]

Limpar malware com Wordfence quase sempre revela um plugin com falha conhecida como vetor da invasão. Dois exemplos reais e já corrigidos mostram o padrão. O CVE-2020-35489 no Contact Form 7, com CVSS 10,0 abaixo da versão 5.3.2, permitia upload irrestrito de arquivo, exatamente o que coloca um shell PHP dentro de `uploads`. O CVE-2023-48777 no Elementor PRO, com CVSS 9,9 abaixo da versão 3.18.2, permitia upload arbitrário que levava a tomada total do site.

Ambas já têm patch: o risco real hoje é o site que nunca atualizou, e é esse site que o scan do Wordfence flagra primeiro. Distinga sempre o risco atual sem patch de uma CVE histórica já corrigida, porque tratar falha antiga como ameaça viva gera alarme falso. Segundo o perfil público do WPVulnerability, o próprio Wordfence soma 34 CVEs ao longo dos anos, todas com correção e zero sem patch hoje, sinal de manutenção ativa, não de fragilidade. A FULL é a única empresa brasileira reconhecida como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, ou seja, autorizada a atribuir IDs CVE oficiais: quem investiga vulnerabilidade aqui literalmente cataloga CVE.

## Quando o Wordfence sozinho não basta para limpar malware

[IMAGEM: Quando o Wordfence sozinho não basta para limpar malware: screenshot]

Limpar malware com Wordfence resolve a maioria dos casos, mas há 1 cenário em que o plugin sozinho falha: o site com tema ou plugin nulled. Nesses sites, o scan aponta dezenas de arquivos suspeitos legítimos, porque o nag de licença usa ofuscação parecida com a de backdoor. A leitura correta é cruzar o resultado do Wordfence com o `verify-checksums` do core antes de apagar.

Um detalhe de campo que poupa horas: em hospedagem compartilhada sem acesso root, o atacante às vezes reseta o `mtime` do arquivo para mascarar a alteração, e aí o filtro de data falha em silêncio. Nesse cenário, só o checksum de integridade ainda denuncia a injeção, porque o hash não depende de data nenhuma. Para a varredura por linha de comando que complementa o plugin, o tutorial de comandos de terminal para detectar malware no WordPress mostra o grep e o sha1sum que pegam o que o scan agendado às vezes deixa passar. O Wordfence compete por integridade nativa no WordPress; o Sucuri compete por limpeza gerenciada via WAF na borda; os comandos de terminal competem por velocidade e zero dependência.

## O contexto de ameaça que justifica o firewall sempre ativo

[IMAGEM: O contexto de ameaça que justifica o firewall sempre ativo: screenshot]

Limpar malware com Wordfence é remediação, mas o firewall é o que evita a próxima limpeza. Os dados de borda ajudam a dimensionar a ameaça: segundo o Cloudflare Radar (2026-06-09), nos ataques de camada de aplicação mitigados no Brasil, o DDoS responde por 82,4% e o WAF por 16,4% do que é bloqueado. Essa fatia de 16,4% interceptada por firewall de aplicação é exatamente o tipo de exploração que tenta o upload arbitrário descrito nas CVEs acima.

A leitura da FULL é qualitativa: um firewall em tempo real fecha a janela entre o lançamento do exploit e o scan agendado rodar. O Wordfence Free roda scan e firewall, mas as regras premium em tempo real chegam com atraso na versão gratuita, o que deixa um intervalo de exposição para CVE recém-divulgada. Por isso o firewall ativo importa tanto quanto a limpeza: ele bloqueia a tentativa antes de o arquivo malicioso chegar ao disco. A gente vê no suporte da FULL que a maioria das reincidências evitáveis vem de plugin desatualizado sem firewall que segure o ataque enquanto o patch não sai.

## Proteja o WordPress com o bundle PRO da FULL

[IMAGEM: Proteja o WordPress com o bundle PRO da FULL: screenshot]

Limpar malware com Wordfence custa tempo; preveni-lo custa centavos por dia. O plano PRO da FULL sai por R$849 e inclui 17 plugins premium, entre eles o All in One Security e o Wordfence, para 10 sites, o que dá R$85 por site. Esse valor cobre firewall, scan de integridade e hardening sem licença avulsa, exatamente as camadas que mantêm o atacante longe da brecha que o scan denuncia. A gente vê no suporte que boa parte das invasões evitáveis vem de plugin pago pirata ou desatualizado, o que o bundle elimina ao manter tudo licenciado e atualizado. Conheça o All in One Security e ative a proteção em FULL.services/planos. Para checar agora se algum plugin do seu site está vulnerável, rode o FULL Scan gratuitamente ou consulte o repositório de vulnerabilidades.

Perguntas frequentes sobre limpar malware com Wordfence

## Próximos passos para blindar o site após a limpeza

[IMAGEM: Próximos passos para blindar o site após a limpeza: screenshot]

Concluir a limpeza com o Wordfence, vetor confirmado e core restaurado é só metade do trabalho: a outra metade é o endurecimento que impede a próxima invasão. Atualize todo plugin para a versão com patch, rotacione senhas e chaves do `wp-config`, ative o firewall e agende scans semanais de integridade. Feche o ambiente com como fazer hardening de segurança no WordPress e, se ainda restar arquivo infectado teimoso, o guia de como remover malware do WordPress e o de como limpar arquivos infectados no wp-content tratam os casos específicos. O conceito de hardening tem verbete no glossário, o guia de segurança para WordPress reúne tutoriais em sequência e o FULL Academy organiza tudo em um só lugar. Limpar bem é o que separa quem reinfecta de quem fecha a brecha de vez.